Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Maleware durch Gimp2 Plugins? 34 Infizierte Dateien! (https://www.trojaner-board.de/96325-maleware-gimp2-plugins-34-infizierte-dateien.html)

Blacksheep89 07.03.2011 10:11
Maleware durch Gimp2 Plugins? 34 Infizierte Dateien!
 
Hallo Trojaner Board,

vor ein paar Tagen habe ich gemerkt, wie plötzlich mein Email-Account Passwort, sowie mein EA Passwort geändert wurden.

Ich habe sofort auf einem anderen Rechner alle Passwörter geändert und eine neue Email erstellt und alles darauf eingerichtet.

Dann habe ich einen Scan mit Malewarebytes gemacht, er fand 34 Infizierte Dateien, alle im Gimp2.6 Ordner.
Scheinbar waren diese bei einem Plugin dabei.
Was mich allerdings irritiert ist, dass ich diese Plugins schon sehr lange habe, vorher aber nie was passiert ist.
Kann das vielleicht damit zusammenhängen, dass ich vorher Kaspersky hatte und momentan nur Avira Free, weil ich gerade auf Norton umsteigen will?

Jedenfalls habe ich die Infizierten Dateien mit MBM gelöscht, doch sicher fühle ich mich immernochnicht.
Localhost ist nicht zu erreichen und wenn ich Gmer ausführen will hängt es sich, oder sogar den ganzen PC auf.
Catchme meldet 2 Sachen.

Ich wäre bereit wenn garnichts geht eine neue Festplatte zu kaufen, aber da ich am PC auch arbeite habe ich die Sorge, dass bei der Datensicherung die Maleware irgendwie mitkommt.
Dann sich z.B. Rootkits per Autorun selbständig auf USB Sticks oder sogar auf Disks schreiben habe ich bereits gehört.


Jedenfalls wäre es super wenn ihr mir helfen könntet. :dankeschoen:




Anbei: Logfiles.

Win 7 32 Bit.



PS: War mir nicht sicher wo ich es eröffnen soll, weil ich denke dass es ja auch was mit Kaspersky zu tun hat, wenns falsch ist bitte verschieben.

OK, eigentlich gehört es in den anderen Berecih, "Plagegeister aller Art entfernen" oder so. Dort habe ich keinen Zutritt mehr, aber dort sind Experten, die dir die LOG-Files analysieren können. Vielleicht wird ein Admin bald verschieben.

Nur so viel: Ich an deiner Stelle würde an einen SICHEREN ANDEREN Rechner gehen, von dort alle Passwörter ändern und dann beim infizierten Rechner die Platte formatieren und Windows neu drauf machen. Ansonsten hast du nie wirkliche Sicherheit.

Vermutlich ist irgendeine Spyware oder ein Rootkit drauf. Dass GMER sich aufhängt kommt mir aber schon sehr Verdächtig vor.

Ok, dann bitte verschieben.

Und ja, das find ich auch komisch, also er scannt erst ne kurze Zeit ganz normal, dann hängt er sich auf.

Und gestern hat sich der PC dann abgeschaltet to "prevent damage".

Denke auch dass ich den PC formatieren muss.

Will aber vorher unbedingt noch bestimmte daten sichern ohne dass sich da böse sachen mit schmuggeln

cosinus 08.03.2011 11:23
Gibt es noch weitere Logs von Malwarebytes? Wenn ja bitte alle davon posten. Du findest diese im Reiter Logdateien in Malwarebytes.

Blacksheep89 08.03.2011 20:06
Also ich hatte keine weiteren gesehen.

Nebenbei:

Ich musste heute eine Systemwiederherstellung machen, sonst wollte Windows nicht starten.

Danach waren auch Malewarebytes etc. weg.

Werde jetzt nochmal einen Scan machen, mal sehen.

Blacksheep89 08.03.2011 21:15
Also hab jetzt nochmal Quick Scan gemacht.

Malewarebytes sagt nun ist alles ok, aber ich trau dem braten nicht, vorallem da mein pc momentan öfters mal komische Sachen macht.
Aber Gmer klappt nun komischer Weise.

Hat auchschon 1 Trojaner gefunden, zumindest laut googel ist es einer, ich lass nochmal zuende laufen, aber wenn ich das richtig verstehe heißt er ZwSaveKeyEx und ist der ntkrnlpa.exe angehängt.

cosinus 08.03.2011 21:37
Zitat:
aber wenn ich das richtig verstehe heißt er ZwSaveKeyEx und ist der ntkrnlpa.exe angehängt.
Nur weil was im GMER-Log steht, ist das nicht automatisch ein Trojaner.
mach wegen der Systemwiederherstellung bitte frische Logs mit OTL.

Blacksheep89 08.03.2011 21:41
Job, sobald Gmer fertig ist.

Und naja, Google sagt dass es ein Rootkit ist und catchme hat den auch gefunden.

Natürlich steht es nicht fest, aber ich finde das schon verdächtig.



Danke nochmal ^.^

Edit:

Gmer Log:


Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-08 21:52:44
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: woc8n5m6.exe; Driver: C:\Users\***\AppData\Local\Temp\kwldypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                    83097589 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                            830BC092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                          section is writeable [0x8EC3A000, 0x2D5378, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text          C:\Program Files\Mozilla Firefox\plugin-container.exe[3016] USER32.dll!TrackPopupMenu              76A94B3B 5 Bytes  JMP 6735C35B C:\Program Files\Mozilla Firefox\xul.dll (Mozilla Foundation)
.text          C:\Program Files\Mozilla Firefox\firefox.exe[3752] ntdll.dll!LdrLoadDll                            7757F5B5 5 Bytes  JMP 010D13F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                    [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]              [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]              [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                    [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]          [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]            [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]            [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]          [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]  [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]            [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]      [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]    [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]          [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[2620] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]              [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipAlloc]                    [74202494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusStartup]              [741E5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdiplusShutdown]              [741E56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipFree]                    [7420250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDeleteGraphics]          [741F8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDisposeImage]            [741F4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageWidth]            [741F50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipGetImageHeight]          [741F51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateBitmapFromHBITMAP]  [741F66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCreateFromHDC]            [741F82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetCompositingMode]      [741F8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipSetInterpolationMode]    [741F907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipDrawImageRectI]          [741FE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\explorer.exe[2696] @ C:\Windows\explorer.exe [gdiplus.dll!GdipCloneImage]              [741F4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                  halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                            fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)

---- EOF - GMER 1.0.15 ----
Edit 2: Hab jetzt nur für die letzen 30 Tage gescannt.

Reicht das?

Kann sein dass die Maleware schon viel länger drauf ist oder?

Blacksheep89 08.03.2011 22:21
So, OTL Scans im anhang:

cosinus 09.03.2011 14:47
Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code:
:OTL
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:1B22F0EC
:Commands
[purity]
[resethosts]
[emptytemp]
Klick dann oben links auf den Button Fix!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Blacksheep89 09.03.2011 17:42
Erledigt:

Code:
All processes killed
========== OTL ==========
ADS C:\ProgramData\TEMP:1B22F0EC deleted successfully.
========== COMMANDS ==========
C:\Windows\System32\drivers\etc\Hosts moved successfully.
HOSTS file reset successfully
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Gast
->Temp folder emptied: 175356 bytes
->Temporary Internet Files folder emptied: 23720720 bytes
->Java cache emptied: 86846 bytes
->FireFox cache emptied: 101520862 bytes
->Flash cache emptied: 59844 bytes
 
User: ****
->Temp folder emptied: 190937108 bytes
->Temporary Internet Files folder emptied: 73389607 bytes
->Java cache emptied: 16447103 bytes
->FireFox cache emptied: 65747798 bytes
->Google Chrome cache emptied: 6126175 bytes
->Flash cache emptied: 2425484 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 608 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 458,00 mb
 
 
OTL by OldTimer - Version 3.2.22.3 log created on 03092011_164239

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Allerdings muss ich anmerken, dass der PC nicht richtig herunterfahren wollte und im "Herunterfahren" Bildschirm festhängen geblieben ist, ich habe ihn dann nach einiger Zeit manuell ausgeschaltet.

cosinus 09.03.2011 21:59
Dann bitte jetzt CF ausführen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.
http://saved.im/mtm0nzyzmzd5/cofi.jpg
  • Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.
  • Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
    Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Blacksheep89 09.03.2011 22:42
Kann den CCL leider nicht runterladen, werden keine Mirrors angezeigt, weder bei der neuesten, noch bei älteren.

Edit:

Ich dusel, lad ich es halt woanders :D

Naja, also CCleaner ausführen bevor ich combo fix ausführe.

Blacksheep89 09.03.2011 23:23
Code:
ComboFix 11-03-09.01 - **** 09.03.2011  22:56:47.1.4 - x86
Microsoft Windows 7 Home Premium  6.1.7600.0.1252.49.1031.18.2047.1438 [GMT 1:00]
ausgeführt von:: c:\users\****\Desktop\cofi.exe
AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}
SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Install.exe
c:\users\****\AppData\Roaming\EurekaLog
c:\users\****\AppData\Roaming\EurekaLog\CyberGhost\CyberGhost.elf
.
.
(((((((((((((((((((((((  Dateien erstellt von 2011-02-09 bis 2011-03-09  ))))))))))))))))))))))))))))))
.
.
2011-03-09 22:04 . 2011-03-09 22:05        --------        d-----w-        c:\users\****\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04        --------        d-----w-        c:\users\Gast\AppData\Local\temp
2011-03-09 22:04 . 2011-03-09 22:04        --------        d-----w-        c:\users\Default\AppData\Local\temp
2011-03-09 21:45 . 2011-03-09 21:45        --------        d-----w-        c:\program files\CCleaner
2011-03-09 15:42 . 2011-03-09 15:42        --------        d-----w-        C:\_OTL
2011-03-09 14:25 . 2010-12-18 05:30        2690560        ----a-w-        c:\windows\system32\mstscax.dll
2011-03-09 14:25 . 2010-12-18 05:26        1034240        ----a-w-        c:\windows\system32\mstsc.exe
2011-03-09 14:25 . 2011-02-19 05:33        802304        ----a-w-        c:\windows\system32\FntCache.dll
2011-03-09 14:25 . 2011-02-19 05:32        1074176        ----a-w-        c:\windows\system32\DWrite.dll
2011-03-09 14:25 . 2011-02-19 05:32        739840        ----a-w-        c:\windows\system32\d2d1.dll
2011-03-09 14:25 . 2010-12-23 05:28        850432        ----a-w-        c:\windows\system32\sbe.dll
2011-03-09 14:25 . 2010-12-23 05:28        642048        ----a-w-        c:\windows\system32\CPFilters.dll
2011-03-09 14:25 . 2010-12-23 05:28        534528        ----a-w-        c:\windows\system32\EncDec.dll
2011-03-09 14:25 . 2010-12-23 05:24        199680        ----a-w-        c:\windows\system32\mpg2splt.ax
2011-03-05 12:57 . 2011-03-05 12:57        --------        d-----w-        c:\users\Gast\AppData\Roaming\Malwarebytes
2011-03-04 17:37 . 2011-03-04 17:37        --------        d-----w-        c:\programdata\Electronic Arts
2011-03-04 17:37 . 2011-03-04 17:37        --------        d-----w-        c:\programdata\EA Core
2011-03-04 17:33 . 2011-03-04 17:33        --------        d-----w-        c:\program files\Electronic Arts
2011-02-27 08:54 . 2011-03-08 15:01        --------        d-----w-        c:\users\Gast\AppData\Local\LogMeIn Hamachi
2011-02-24 14:59 . 2011-02-24 15:47        --------        d-----w-        c:\users\****\AppData\Roaming\TeamViewer
2011-02-23 17:43 . 2010-09-14 06:07        276992        ----a-w-        c:\windows\system32\wcncsvc.dll
2011-02-23 13:56 . 2011-01-07 07:31        442880        ----a-w-        c:\windows\system32\XpsPrint.dll
2011-02-23 13:56 . 2011-01-07 07:31        288256        ----a-w-        c:\windows\system32\XpsGdiConverter.dll
2011-02-18 22:01 . 2011-02-18 22:12        --------        d-----w-        c:\program files\Steamless CounterStrikeSource Pack
2011-02-17 18:49 . 2011-03-08 15:01        --------        d-----w-        c:\users\****\AppData\Roaming\.minecraft
2011-02-17 17:17 . 2011-02-17 17:18        --------        d-----w-        c:\users\****\AppData\Roaming\.minecraft - Kopie (2)
2011-02-13 22:29 . 2011-02-13 22:34        --------        d-----w-        c:\users\****\AppData\Roaming\.minecraft - Kopie
2011-02-09 20:16 . 2011-03-09 20:00        --------        d-----w-        c:\users\****\AppData\Local\LogMeIn Hamachi
2011-02-09 20:16 . 2011-02-09 20:16        --------        d-----w-        c:\program files\LogMeIn Hamachi
.
.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-12-20 17:09 . 2010-05-11 19:29        38224        ----a-w-        c:\windows\system32\drivers\mbamswissarmy.sys
2010-12-20 17:08 . 2010-05-11 19:29        20952        ----a-w-        c:\windows\system32\drivers\mbam.sys
2010-12-13 07:39 . 2010-12-24 18:58        135096        ----a-w-        c:\windows\system32\drivers\avipbb.sys
2010-12-13 07:39 . 2010-12-24 18:58        61960        ----a-w-        c:\windows\system32\drivers\avgntflt.sys
.
.
((((((((((((((((((((((((((((  Autostartpunkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2009-07-14 144384]
"Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2010-02-22 8522272]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2011-01-31 35760]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-03-06 500208]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-13 281768]
"LogMeIn Hamachi Ui"="c:\program files\LogMeIn Hamachi\hamachi-2-ui.exe" [2010-12-06 1910152]
.
c:\users\Gast\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux1"=wdmaud.drv
.
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 OMSI download service;Sony Ericsson OMSI download service;c:\program files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe [2009-04-30 90112]
R3 CGVPNCliSrvc;CyberGhost VPN Client;c:\program files\S.A.D\CyberGhost VPN\CGVPNCliService.exe [2011-02-02 2413704]
R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [x]
S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-08-18 176128]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-12-13 135336]
S2 Hamachi2Svc;LogMeIn Hamachi 2.0 Tunneling Engine;c:\program files\LogMeIn Hamachi\hamachi-2.exe [2010-12-06 1238408]
S2 HssWd;Hotspot Shield Monitoring Service;c:\program files\Hotspot Shield\bin\hsswd.exe [2010-01-08 285744]
S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]
S3 RTL8167;Realtek 8167 NT-Treiber;c:\windows\system32\DRIVERS\Rt86win7.sys [2009-07-13 139776]
.
.
--- Andere Dienste/Treiber im Speicher ---
.
*NewlyCreated* - SSMDRV
.
.
------- Zusätzlicher Suchlauf -------
.
Trusted Zone: worldofwarcraft.com\eu.logon
FF - ProfilePath - c:\users\****\AppData\Roaming\Mozilla\Firefox\Profiles\3xnu5lcx.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://google.de/
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.1&q=
FF - prefs.js: network.proxy.type - 2
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}
FF - Ext: Greasemonkey: {e4a8a97b-f2ed-450b-b12d-ee082ba24781} - %profile%\extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781}
FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -
.
AddRemove-Octoshape add-in for Adobe Flash Player - c:\users\****\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\octoshape\octoshape.exe
.
.
.
--------------------- Gesperrte Registrierungsschluessel ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10k_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Zeit der Fertigstellung: 2011-03-09  23:06:51
ComboFix-quarantined-files.txt  2011-03-09 22:06
.
Vor Suchlauf: 25 Verzeichnis(se), 158.336.831.488 Bytes frei
Nach Suchlauf: 32 Verzeichnis(se), 158.293.037.056 Bytes frei
.
- - End Of File - - A95D855DF35608142018FEC383887E92
So, auch erledigt.
Hab danach nochmal nen neustart gemacht.

cosinus 10.03.2011 12:49
Ok. Bitte nun Logs mit GMER und OSAM erstellen und posten.
GMER stürzt häufiger ab, wenn das Tool auch beim 2. Mal nicht will, lass es einfach weg und führ nur OSAM aus - die Online-Abfrage durch OSAM bitte überspringen.
Bei OSAM bitte darauf auch achten, dass Du das Log auch als *.log und nicht *.html oder so abspeicherst.


Downloade Dir danach bitte MBRCheck (by a_d_13) und speichere die Datei auf dem Desktop.
  • Doppelklick auf die MBRCheck.exe.
    Vista und Win7 User mit Rechtsklick "als Administrator starten"
  • Das Tool braucht nur einige Sekunden.
  • Danach solltest du eine MBRCheck_<Datum>_<Uhrzeit>.txt auf dem Desktop finden.
Poste mir bitte den Inhalt des .txt Dokumentes

Blacksheep89 10.03.2011 17:06
Alles klar:

Code:
MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:                       
Windows Version:                Windows 7 Home Premium Edition
Windows Information:                (build 7600), 32-bit
Base Board Manufacturer:        MICRO-STAR INTERNATIONAL CO.,LTD
BIOS Manufacturer:                American Megatrends Inc.
System Manufacturer:                MICRO-STAR INTERNATIONAL CO.,LTD
System Product Name:                MS-7388
Logical Drives Mask:                0x0000000d

Kernel Drivers (total 185):
  0x83040000 \SystemRoot\system32\ntkrnlpa.exe
  0x83009000 \SystemRoot\system32\halmacpi.dll
  0x80BA6000 \SystemRoot\system32\kdcom.dll
  0x8362C000 \SystemRoot\system32\mcupdate_AuthenticAMD.dll
  0x83637000 \SystemRoot\system32\PSHED.dll
  0x83648000 \SystemRoot\system32\BOOTVID.dll
  0x83650000 \SystemRoot\system32\CLFS.SYS
  0x83692000 \SystemRoot\system32\CI.dll
  0x8373D000 \SystemRoot\system32\drivers\Wdf01000.sys
  0x837AE000 \SystemRoot\system32\drivers\WDFLDR.SYS
  0x89002000 \SystemRoot\system32\DRIVERS\ACPI.sys
  0x8904A000 \SystemRoot\system32\DRIVERS\WMILIB.SYS
  0x89053000 \SystemRoot\system32\DRIVERS\msisadrv.sys
  0x8905B000 \SystemRoot\system32\DRIVERS\pci.sys
  0x89085000 \SystemRoot\system32\DRIVERS\vdrvroot.sys
  0x89090000 \SystemRoot\System32\drivers\partmgr.sys
  0x890A1000 \SystemRoot\system32\DRIVERS\volmgr.sys
  0x890B1000 \SystemRoot\System32\drivers\volmgrx.sys
  0x890FC000 \SystemRoot\system32\DRIVERS\pciide.sys
  0x89103000 \SystemRoot\system32\DRIVERS\PCIIDEX.SYS
  0x89111000 \SystemRoot\System32\drivers\mountmgr.sys
  0x89127000 \SystemRoot\system32\DRIVERS\atapi.sys
  0x89130000 \SystemRoot\system32\DRIVERS\ataport.SYS
  0x89153000 \SystemRoot\system32\DRIVERS\amdxata.sys
  0x8915C000 \SystemRoot\system32\drivers\fltmgr.sys
  0x89190000 \SystemRoot\system32\drivers\fileinfo.sys
  0x89217000 \SystemRoot\System32\Drivers\Ntfs.sys
  0x89346000 \SystemRoot\System32\Drivers\msrpc.sys
  0x89371000 \SystemRoot\System32\Drivers\ksecdd.sys
  0x89384000 \SystemRoot\System32\Drivers\cng.sys
  0x893E1000 \SystemRoot\System32\drivers\pcw.sys
  0x893EF000 \SystemRoot\System32\Drivers\Fs_Rec.sys
  0x8943D000 \SystemRoot\system32\drivers\ndis.sys
  0x894F4000 \SystemRoot\system32\drivers\NETIO.SYS
  0x89532000 \SystemRoot\System32\Drivers\ksecpkg.sys
  0x8963C000 \SystemRoot\System32\drivers\tcpip.sys
  0x89785000 \SystemRoot\System32\drivers\fwpkclnt.sys
  0x897B6000 \SystemRoot\system32\DRIVERS\volsnap.sys
  0x897F5000 \SystemRoot\System32\Drivers\spldr.sys
  0x89600000 \SystemRoot\System32\drivers\rdyboost.sys
  0x89557000 \SystemRoot\System32\Drivers\mup.sys
  0x8962D000 \SystemRoot\System32\drivers\hwpolicy.sys
  0x89567000 \SystemRoot\System32\DRIVERS\fvevol.sys
  0x89599000 \SystemRoot\system32\DRIVERS\disk.sys
  0x895AA000 \SystemRoot\system32\DRIVERS\CLASSPNP.SYS
  0x895CF000 \SystemRoot\system32\DRIVERS\AtiPcie.sys
  0x89411000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0x89635000 \SystemRoot\System32\Drivers\Null.SYS
  0x89430000 \SystemRoot\System32\Drivers\Beep.SYS
  0x89200000 \SystemRoot\System32\drivers\vga.sys
  0x891A1000 \SystemRoot\System32\drivers\VIDEOPRT.SYS
  0x891C2000 \SystemRoot\System32\drivers\watchdog.sys
  0x895F8000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0x8920C000 \SystemRoot\system32\drivers\rdpencdd.sys
  0x893F8000 \SystemRoot\system32\drivers\rdprefmp.sys
  0x891CF000 \SystemRoot\System32\Drivers\Msfs.SYS
  0x891DA000 \SystemRoot\System32\Drivers\Npfs.SYS
  0x891E8000 \SystemRoot\system32\DRIVERS\tdx.sys
  0x837BC000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0x8E234000 \SystemRoot\system32\drivers\afd.sys
  0x8E28E000 \SystemRoot\System32\DRIVERS\netbt.sys
  0x8E2C0000 \SystemRoot\system32\DRIVERS\wfplwf.sys
  0x8E2C7000 \SystemRoot\system32\DRIVERS\pacer.sys
  0x8E2E6000 \SystemRoot\system32\DRIVERS\netbios.sys
  0x8E2F4000 \SystemRoot\system32\DRIVERS\serial.sys
  0x8E30E000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0x8E321000 \SystemRoot\system32\DRIVERS\termdd.sys
  0x8E331000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0x8E337000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0x8E378000 \SystemRoot\system32\drivers\nsiproxy.sys
  0x8E382000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0x8E38C000 \SystemRoot\System32\drivers\discache.sys
  0x8E398000 \SystemRoot\System32\Drivers\dfsc.sys
  0x8E3B0000 \SystemRoot\system32\DRIVERS\blbdrive.sys
  0x8E3BE000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0x8E200000 \SystemRoot\system32\DRIVERS\tunnel.sys
  0x8E221000 \SystemRoot\system32\DRIVERS\amdppm.sys
  0x8EC1A000 \SystemRoot\system32\DRIVERS\atikmdag.sys
  0x8F12F000 \SystemRoot\System32\drivers\dxgkrnl.sys
  0x837C7000 \SystemRoot\System32\drivers\dxgmms1.sys
  0x83600000 \SystemRoot\system32\DRIVERS\HDAudBus.sys
  0x8F23E000 \SystemRoot\system32\DRIVERS\Rt86win7.sys
  0x8F263000 \SystemRoot\system32\DRIVERS\usbohci.sys
  0x8F26D000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0x8F2B8000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0x8F2C7000 \SystemRoot\system32\DRIVERS\serenum.sys
  0x8F2D1000 \SystemRoot\system32\DRIVERS\fdc.sys
  0x8F2DC000 \SystemRoot\system32\DRIVERS\i8042prt.sys
  0x8F2F4000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0x8F301000 \SystemRoot\system32\DRIVERS\wmiacpi.sys
  0x8F30A000 \SystemRoot\system32\DRIVERS\CompositeBus.sys
  0x8F317000 \SystemRoot\system32\DRIVERS\AgileVpn.sys
  0x8F329000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0x8F341000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0x8F34C000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0x8F36E000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0x8F386000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0x8F39D000 \SystemRoot\system32\DRIVERS\rassstp.sys
  0x8F3B4000 \SystemRoot\system32\DRIVERS\tap0901.sys
  0x8F3BB000 \SystemRoot\system32\DRIVERS\hamachi.sys
  0x8F3C0000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0x8F3CD000 \SystemRoot\system32\DRIVERS\swenum.sys
  0x8F200000 \SystemRoot\system32\DRIVERS\ks.sys
  0x8F3CF000 \SystemRoot\system32\DRIVERS\umbus.sys
  0x93C3C000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0x93C80000 \SystemRoot\system32\DRIVERS\flpydisk.sys
  0x93C8A000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0x93C9B000 \SystemRoot\system32\drivers\HdAudio.sys
  0x93CEB000 \SystemRoot\system32\drivers\portcls.sys
  0x93D1A000 \SystemRoot\system32\drivers\drmk.sys
  0x94023000 \SystemRoot\system32\drivers\RTKVHDA.sys
  0x94304000 \SystemRoot\System32\Drivers\crashdmp.sys
  0x94311000 \SystemRoot\System32\Drivers\dump_dumpata.sys
  0x9431C000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0x94325000 \SystemRoot\System32\Drivers\dump_dumpfve.sys
  0x95B90000 \SystemRoot\System32\win32k.sys
  0x94336000 \SystemRoot\System32\drivers\Dxapi.sys
  0x94340000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0x9434B000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0x9435E000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0x94365000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0x94367000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0x94372000 \SystemRoot\system32\DRIVERS\monitor.sys
  0x95DF0000 \SystemRoot\System32\TSDDD.dll
  0x95A20000 \SystemRoot\System32\ATMFD.DLL
  0x95A70000 \SystemRoot\System32\cdd.dll
  0x9437D000 \SystemRoot\system32\drivers\luafv.sys
  0x94398000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0x943AD000 \SystemRoot\system32\drivers\WudfPf.sys
  0x943C7000 \SystemRoot\system32\DRIVERS\lltdio.sys
  0x943D7000 \SystemRoot\system32\DRIVERS\rspndr.sys
  0x93D33000 \SystemRoot\system32\drivers\HTTP.sys
  0x94000000 \SystemRoot\system32\DRIVERS\bowser.sys
  0x943EA000 \SystemRoot\System32\drivers\mpsdrv.sys
  0x93DB8000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0x93C00000 \SystemRoot\system32\DRIVERS\mrxsmb10.sys
  0x93DDB000 \SystemRoot\system32\DRIVERS\mrxsmb20.sys
  0x9BE19000 \SystemRoot\system32\drivers\peauth.sys
  0x9BEB0000 \SystemRoot\System32\Drivers\secdrv.SYS
  0x9BEBA000 \SystemRoot\System32\DRIVERS\srvnet.sys
  0x9BEDB000 \SystemRoot\System32\drivers\tcpipreg.sys
  0x9BEE8000 \SystemRoot\System32\DRIVERS\srv2.sys
  0x9BF37000 \SystemRoot\System32\DRIVERS\srv.sys
  0x9BFF2000 \SystemRoot\system32\DRIVERS\asyncmac.sys
  0x9BE00000 \??\C:\Users\****\AppData\Local\Temp\kwldypoc.sys
  0x9BF88000 \SystemRoot\System32\Drivers\fastfat.SYS
  0x77610000 \Windows\System32\ntdll.dll
  0x47890000 \Windows\System32\smss.exe
  0x77850000 \Windows\System32\apisetschema.dll
  0x00940000 \Windows\System32\autochk.exe
  0x77770000 \Windows\System32\user32.dll
  0x77560000 \Windows\System32\rpcrt4.dll
  0x77530000 \Windows\System32\imagehlp.dll
  0x773D0000 \Windows\System32\ole32.dll
  0x77380000 \Windows\System32\Wldap32.dll
  0x772B0000 \Windows\System32\msctf.dll
  0x77270000 \Windows\System32\ws2_32.dll
  0x77760000 \Windows\System32\normaliz.dll
  0x77190000 \Windows\System32\kernel32.dll
  0x770F0000 \Windows\System32\usp10.dll
  0x77040000 \Windows\System32\msvcrt.dll
  0x76FB0000 \Windows\System32\oleaut32.dll
  0x76F20000 \Windows\System32\clbcatq.dll
  0x77750000 \Windows\System32\nsi.dll
  0x76F00000 \Windows\System32\imm32.dll
  0x76EA0000 \Windows\System32\difxapi.dll
  0x76250000 \Windows\System32\shell32.dll
  0x76110000 \Windows\System32\urlmon.dll
  0x760F0000 \Windows\System32\sechost.dll
  0x75F50000 \Windows\System32\setupapi.dll
  0x75EB0000 \Windows\System32\advapi32.dll
  0x75CB0000 \Windows\System32\iertutil.dll
  0x75CA0000 \Windows\System32\psapi.dll
  0x75C20000 \Windows\System32\comdlg32.dll
  0x75BC0000 \Windows\System32\shlwapi.dll
  0x75BB0000 \Windows\System32\lpk.dll
  0x75B60000 \Windows\System32\gdi32.dll
  0x75A60000 \Windows\System32\wininet.dll
  0x75A40000 \Windows\System32\devobj.dll
  0x75A10000 \Windows\System32\cfgmgr32.dll
  0x759E0000 \Windows\System32\wintrust.dll
  0x75990000 \Windows\System32\KernelBase.dll
  0x75900000 \Windows\System32\comctl32.dll
  0x757E0000 \Windows\System32\crypt32.dll
  0x757D0000 \Windows\System32\msasn1.dll

Processes (total 52):
      0 System Idle Process
      4 System
    276 C:\Windows\System32\smss.exe
    400 csrss.exe
    472 C:\Windows\System32\wininit.exe
    480 csrss.exe
    520 C:\Windows\System32\services.exe
    536 C:\Windows\System32\lsass.exe
    544 C:\Windows\System32\lsm.exe
    656 C:\Windows\System32\svchost.exe
    704 C:\Windows\System32\winlogon.exe
    816 C:\Windows\System32\svchost.exe
    892 C:\Windows\System32\atiesrxx.exe
    952 C:\Windows\System32\svchost.exe
    988 C:\Windows\System32\svchost.exe
    1036 C:\Windows\System32\svchost.exe
    1176 C:\Windows\System32\svchost.exe
    1268 C:\Windows\System32\atieclxx.exe
    1316 C:\Windows\System32\svchost.exe
    1544 C:\Windows\System32\spoolsv.exe
    1576 C:\Program Files\Avira\AntiVir Desktop\sched.exe
    1596 C:\Windows\System32\svchost.exe
    1712 C:\Program Files\Avira\AntiVir Desktop\avguard.exe
    1756 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40ST7.EXE
    1788 C:\ProgramData\EPSON\EPW!3 SSRP\E_S40RP7.EXE
    1820 C:\Windows\System32\svchost.exe
    1848 C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
    1876 C:\Program Files\Hotspot Shield\bin\hsswd.exe
    1916 C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe
    1956 C:\Program Files\Avira\AntiVir Desktop\avshadow.exe
    1968 C:\Windows\System32\conhost.exe
    2004 C:\Windows\System32\svchost.exe
    1508 C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
    2904 C:\Windows\System32\svchost.exe
    3076 C:\Windows\System32\taskhost.exe
    3152 C:\Windows\System32\dwm.exe
    3204 C:\Windows\explorer.exe
    3300 C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
    3420 C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
    3476 C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe
    1416 C:\Windows\System32\SearchIndexer.exe
    2560 C:\Program Files\Windows Media Player\wmpnetwk.exe
    3836 C:\Windows\System32\svchost.exe
    672 C:\Program Files\Mozilla Firefox\firefox.exe
    2448 C:\Program Files\Mozilla Firefox\plugin-container.exe
    2328 C:\Windows\System32\SearchProtocolHost.exe
    3168 C:\Windows\System32\SearchFilterHost.exe
    2480 C:\Windows\explorer.exe
    2868 C:\Windows\System32\audiodg.exe
    3628 C:\Users\****\Desktop\MBRCheck.exe
    1720 C:\Windows\System32\conhost.exe
    1172 C:\Windows\System32\dllhost.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00100000  (NTFS)

PhysicalDrive0 Model Number: HitachiHDT725032VLA380, Rev: V54OA73A

      Size  Device Name          MBR Status
  --------------------------------------------
    298 GB  \\.\PhysicalDrive0  Windows 7 MBR code detected
            SHA1: 4379A3D43019B46FA357F7DD6A53B45A3CA8FB79


Done!

Gmer:

Code:
GMER 1.0.15.15530 - hxxp://www.gmer.net
Rootkit scan 2011-03-10 16:44:57
Windows 6.1.7600  Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T1L0-6 Hitachi_HDT725032VLA380 rev.V54OA73A
Running: 1jw9hp18.exe; Driver: C:\Users\****\AppData\Local\Temp\kwldypoc.sys


---- Kernel code sections - GMER 1.0.15 ----

.text          ntkrnlpa.exe!ZwSaveKeyEx + 13BD                                                                                                              83083589 1 Byte  [06]
.text          ntkrnlpa.exe!KiDispatchInterrupt + 5A2                                                                                                      830A8092 19 Bytes  [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
.text          C:\Windows\system32\DRIVERS\atikmdag.sys                                                                                                    section is writeable [0x8EC1B000, 0x2D5378, 0xE8000020]
PAGE            spsys.sys!?SPRevision@@3PADA + 4F90                                                                                                          9BFA5000 290 Bytes  [8B, FF, 55, 8B, EC, 33, C0, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 50B3                                                                                                          9BFA5123 629 Bytes  [05, FA, 9B, FE, 05, 34, 05, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 5329                                                                                                          9BFA5399 101 Bytes  [6A, 28, 59, A5, 5E, C6, 03, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 538F                                                                                                          9BFA53FF 148 Bytes  [18, 5D, C2, 14, 00, 8B, FF, ...]
PAGE            spsys.sys!?SPRevision@@3PADA + 543B                                                                                                          9BFA54AB 2228 Bytes  [8B, FF, 55, 8B, EC, FF, 75, ...]
PAGE            ...                                                                                                                                         

---- User IAT/EAT - GMER 1.0.15 ----

IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc]                                                              [742F2494] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup]                                                        [742D5624] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown]                                                        [742D56E2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree]                                                              [742F250F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics]                                                    [742E8573] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage]                                                      [742E4D27] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth]                                                      [742E50CE] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight]                                                    [742E51A3] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromHBITMAP]                                            [742E66D0] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC]                                                      [742E82CA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode]                                                [742E8819] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode]                                              [742E907A] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI]                                                    [742EE21D] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)
IAT            C:\Windows\Explorer.EXE[3204] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage]                                                        [742E4C59] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.1.7600.16385_none_72fc7cbf861225ca\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

Device          \Driver\ACPI_HAL \Device\00000046                                                                                                            halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)

AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                      fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice  \Driver\volmgr \Device\HarddiskVolume1                                                                                                      rdyboost.sys (ReadyBoost Driver/Microsoft Corporation)

---- Threads - GMER 1.0.15 ----

Thread          System [4:3100]                                                                                                                              9BFB2F2E

---- Registry - GMER 1.0.15 ----

Reg            HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\Configuration\SAM041EH9XQB02323_2F_07D8_2D^87585AC7630E6501383E3F73C924A93B@Timestamp  0x1E 0x47 0x9C 0xB1 ...

---- EOF - GMER 1.0.15 ----

OSAM:


Code:
Report of OSAM: Autorun Manager v5.0.11926.0
hxxp://www.online-solutions.ru/en/
Saved at 16:53:58 on 10.03.2011

OS: Windows 7 Home Premium Edition (Build 7600), 32-bit
Default Browser: Mozilla Corporation Firefox 3.6.15

Scanner Settings
[x] Rootkits detection (hidden registry)
[x] Rootkits detection (hidden files)
[x] Retrieve files information
[x] Check Microsoft signatures

Filters
[ ] Trusted entries
[ ] Empty entries
[x] Hidden registry entries (rootkit activity)
[x] Exclusively opened files
[x] Not found files
[x] Files without detailed information
[x] Existing files
[ ] Non-startable services
[ ] Non-startable drivers
[x] Active entries
[x] Disabled entries


[Drivers]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"avgntflt" (avgntflt) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avgntflt.sys
"avipbb" (avipbb) - "Avira GmbH" - C:\Windows\System32\DRIVERS\avipbb.sys
"catchme" (catchme) - ? - C:\Users\****\AppData\Local\Temp\catchme.sys  (File not found)
"Hamachi Network Interface" (hamachi) - "LogMeIn, Inc." - C:\Windows\System32\DRIVERS\hamachi.sys
"kwldypoc" (kwldypoc) - ? - C:\Users\****\AppData\Local\Temp\kwldypoc.sys  (Hidden registry entry, rootkit activity | File not found)
"ssmdrv" (ssmdrv) - "Avira GmbH" - C:\Windows\System32\DRIVERS\ssmdrv.sys

[Explorer]
-----( HKLM\Software\Classes\Folder\shellex\ColumnHandlers )-----
{F9DB5320-233E-11D1-9F84-707F02C10627} "PDF Shell Extension" - "Adobe Systems, Inc." - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\PDFShell.dll
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
-----( HKLM\Software\Classes\Protocols\Handler )-----
{FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} "IEProtocolHandler Class" - "Skype Technologies" - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "livecall" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
{828030A1-22C1-4009-854F-8E305202313F} "msnim" - "Microsoft Corporation" - C:\PROGRA~1\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks )-----
{AEB6717E-7E19-11d0-97EE-00C04FD91972} "{AEB6717E-7E19-11d0-97EE-00C04FD91972}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved )-----
{911051fa-c21c-4246-b470-070cd8df6dc4} ".cab or .zip files" - ? -  (File not found | COM-object registry key not found)
{1b24a030-9b20-49bc-97ac-1be4426f9e59} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{34449847-FD14-4fc8-A75A-7432F5181EFB} "ActiveDirectory Folder" - ? -  (File not found | COM-object registry key not found)
{0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48} "Contacts folder" - ? -  (File not found | COM-object registry key not found)
{2C2577C2-63A7-40e3-9B7F-586602617ECB} "Explorer Query Band" - ? -  (File not found | COM-object registry key not found)
{00020d75-0000-0000-c000-000000000046} "lnkfile" - ? -  (File not found | COM-object registry key not found)
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396} "OpenOffice.org Column Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{087B3AE3-E237-4467-B8DB-5A38AB959AC9} "OpenOffice.org Infotip Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{63542C48-9552-494A-84F7-73AA6A7C99C1} "OpenOffice.org Property Sheet Handler" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{3B092F0C-7696-40E3-A80F-68D74DA84210} "OpenOffice.org Thumbnail Viewer" - ? - C:\Program Files\OpenOffice.org 3\Basis\program\shlxthdl\shlxthdl.dll
{C8494E42-ACDD-4739-B0FB-217361E4894F} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{E29F9716-5C08-4FCD-955A-119FDB5A522D} "Sam Account Folder" - ? -  (File not found | COM-object registry key not found)
{45AC2688-0253-4ED8-97DE-B5370FA7D48A} "Shell Extension for Malware scanning" - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\shlext.dll
{da67b8ad-e81b-4c70-9b91b417b5e33527} "Windows Search Shell Service" - ? -  (File not found | COM-object registry key not found)
{B41DB860-8EE4-11D2-9906-E49FADC173CA} "WinRAR" - "Alexander Roshal" - C:\Program Files\WinRAR\rarext.dll

[Internet Explorer]
-----( HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser )-----
ITBar7Height "ITBar7Height" - ? -  (File not found | COM-object registry key not found)
<binary data> "ITBar7Layout" - ? -  (File not found | COM-object registry key not found)
<binary data> "{724D43A0-0D85-11D4-9908-00400523E39A}" - ? -  (File not found | COM-object registry key not found)
-----( HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units )-----
{8AD9C840-044E-11D1-B3E9-00805F499D93} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2iexp.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} "Java Plug-in 1.6.0_20" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\npjpi160_20.dll / hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab
{D27CDB6E-AE6D-11CF-96B8-444553540000} "Shockwave Flash Object" - "Adobe Systems, Inc." - C:\Windows\system32\Macromed\Flash\Flash10k.ocx / hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions )-----
"ICQ7" - "ICQ, LLC." - C:\Program Files\ICQ7.0\ICQ.exe
-----( HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar )-----
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{855F3B16-6D32-4FE6-8A56-BBB695989046} "ICQToolBar" - ? - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects )-----
{18DF081C-E8AD-4283-A596-FA578C2EBDC3} "Adobe PDF Link Helper" - "Adobe Systems Incorporated" - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
{9421DD08-935F-4701-A9CA-22DF90AC4EA6} "Easy Photo Print" - "SEIKO EPSON CORPORATION / CyCom Technology Corp." - C:\Program Files\Epson Software\Easy Photo Print\EPTBL.dll
{DBC80044-A445-435b-BC74-9C25C1C588A9} "Java(tm) Plug-In 2 SSV Helper" - "Sun Microsystems, Inc." - C:\Program Files\Java\jre6\bin\jp2ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} "Windows Live Anmelde-Hilfsprogramm" - "Microsoft Corporation" - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
{5C255C8A-E604-49b4-9D64-90988571CECB} "{5C255C8A-E604-49b4-9D64-90988571CECB}" - ? -  (File not found | COM-object registry key not found)

[Logon]
-----( %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\Users\****\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( %AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Startup )-----
"desktop.ini" - ? - C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\desktop.ini
-----( HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run )-----
"Skype" - "Skype Technologies S.A." - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
-----( HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd )-----
"StartupPrograms" - ? - rdpclip  (File not found)
-----( HKLM\Software\Microsoft\Windows\CurrentVersion\Run )-----
"Adobe ARM" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
"Adobe Reader Speed Launcher" - "Adobe Systems Incorporated" - "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"AdobeAAMUpdater-1.0" - "Adobe Systems Incorporated" - "C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
"avgnt" - "Avira GmbH" - "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
"LogMeIn Hamachi Ui" - "LogMeIn Inc." - "C:\Program Files\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start

[Services]
-----( HKLM\SYSTEM\CurrentControlSet\Services )-----
"ASP.NET-Zustandsdienst" (aspnet_state) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe
"Avira AntiVir Guard" (AntiVirService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
"Avira AntiVir Planer" (AntiVirSchedulerService) - "Avira GmbH" - C:\Program Files\Avira\AntiVir Desktop\sched.exe
"CyberGhost VPN Client" (CGVPNCliSrvc) - "mobile concepts GmbH" - C:\Program Files\S.A.D\CyberGhost VPN\CGVPNCliService.exe
"Hotspot Shield Monitoring Service" (HssWd) - ? - C:\Program Files\Hotspot Shield\bin\hsswd.exe  (File found, but it contains no detailed information)
"InstallDriver Table Manager" (IDriverT) - "Macrovision Corporation" - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
"LogMeIn Hamachi 2.0 Tunneling Engine" (Hamachi2Svc) - "LogMeIn Inc." - C:\Program Files\LogMeIn Hamachi\hamachi-2.exe
"Microsoft .NET Framework NGEN v4.0.30319_X86" (clr_optimization_v4.0.30319_32) - "Microsoft Corporation" - C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
"SBSD Security Center Service" (SBSDWSCService) - "Safer Networking Ltd." - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
"Sony Ericsson OMSI download service" (OMSI download service) - ? - C:\Program Files\Sony Ericsson\Sony Ericsson PC Suite\SupServ.exe  (File found, but it contains no detailed information)
"Steam Client Service" (Steam Client Service) - "Valve Corporation" - C:\Program Files\Common Files\Steam\SteamService.exe
"Windows Presentation Foundation Font Cache 4.0.0.0" (WPFFontCache_v0400) - ? - C:\Windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe  (File not found)

===[ Logfile end ]=========================================[ Logfile end ]===

If You have questions or want to get some help, You can visit hxxp://forum.online-solutions.ru



PS: Diesmal hat Gmer ziemlich lang gebraucht, immerhin hats beim 1. versuch geklappt.

cosinus 10.03.2011 17:54
Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SASW und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Blacksheep89 11.03.2011 10:51
Ok, hab erstmal mit SAS gescannt, danach kommt Mb.

Dauert ja immer etwas der scan.

Hier schonmal von SAS:

Code:
SUPERAntiSpyware Scan Log
hxxp://www.superantispyware.com

Generated 03/10/2011 at 11:34 PM

Application Version : 4.49.1000

Core Rules Database Version : 6570
Trace Rules Database Version: 4382

Scan type      : Complete Scan
Total Scan Time : 02:09:24

Memory items scanned      : 614
Memory threats detected  : 0
Registry items scanned    : 8458
Registry threats detected : 0
File items scanned        : 265738
File threats detected    : 15

Trojan.Agent/Gen-Nullo[Short]
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\ALIEN-MAP.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\CARTOON.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\CUBISM.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\FILE-CSOURCE.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\FILE-GBR.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\FILE-HTML-TABLE.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\FILE-SGI.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\FRACTAL-TRACE.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\HELP.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\NOISE-SOLID.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\OILIFY.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\PHOTOCOPY.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\POLAR-COORDS.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\RIPPLE.EXE
        C:\PROGRAM FILES\GIMP-2.0\LIB\GIMP\2.0\PLUG-INS\VAN-GOGH-LIC.EXE

Blacksheep89 11.03.2011 14:09
Also MalewareBytes findet nichts.

Code:
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 5993

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

11.03.2011 13:42:55
mbam-log-2011-03-11 (13-42-55).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 417184
Laufzeit: 2 Stunde(n), 5 Minute(n), 27 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

cosinus 11.03.2011 15:10
Zitat:
Datenbank Version: 5993
Du hast Malwarebytes vorher nicht aktualisiert. Bitte updaten und einen Vollscan machen.

Blacksheep89 11.03.2011 16:37
Ups stimmt, hatte es geupdatet, aber dann wars irgendwie weg, habs neu gedownloadet und dann dacht ich ich hätts schon geupdatet^^

Naja jedenfalls der Befund ist etwas komisch, die sollten schon von Malewarebytes entfernt worden sein die Dateein.

Blacksheep89 12.03.2011 13:12
Auch nach dem update findet er nichts.

cosinus 12.03.2011 13:26
Ok. Noch Probleme? Ich hatte aber eher den Eindruck, dass die Funde bei GIMP eher Fehlalarme waren. Muss ich mal bei Zeiten testen auf meiner Windows-Installation, z.Zt. nutze ich zu Hause nur Ubuntu/Linux.

Blacksheep89 12.03.2011 18:31
Also Probleme habe ich momentan nicht, aber ich habe mich auch nirgendwo wieder eingeloggt.

Und ob das bei Gimp Fehlalarme sind weiß ich nicht so ganz.

Wenn ich im nachhinein überlege waren die Seiten, wo ich die Plugins her habe nicht extrem seriös, also sie waren schon seriös, aber ich würde denen zutrauen trojaner zu spreaden.

cosinus 13.03.2011 13:43
Dann wären wir aber erstmal durch! :abklatsch:

Bitte abschließend die Updates prüfen, unten mein Leitfaden dazu.
Für noch mehr Sicherheit solltest Du nach der beseitigten Infektion auch möglichst alle Passwörter ändern.


Microsoftupdate

Windows XP: Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.

Windows Vista/7: Anleitung Windows-Update



PDF-Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Du solltest daher besser die alte Version über Systemsteuerung => Software deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst.

Ich empfehle einen alternativen PDF-Reader wie SumatraPDF oder Foxit PDF Reader, beide sind sehr viel schlanker und flotter als der AdobeReader.

Bitte überprüf bei der Gelegenheit auch die Aktualität des Flashplayers, hier der direkte Downloadlink (Mozilla und andere Browser) => http://filepony.de/?q=Flash+Player
Internet Explorer => http://fpdownload.adobe.com/get/flas..._player_ax.exe

Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden, am besten mit JavaRa) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Blacksheep89 13.03.2011 17:16
Okay

dann sag ich erstmal :dankeschoen: für die Hilfe.

Werde jetzt nochmal die Sachen updaten.

Weiterhin habe ich eine Frage:

Ich wollte mir morgen oder übermorgen Norton holen, bin mir aber nochnicht sicher ob es wirklich das beste ist.
Der Preis keine große Rolle, das wichtigste ist der Schutz.

Gibt es da vielleicht bessere?

cosinus 13.03.2011 19:14
Zitat:
Der Preis keine große Rolle, das wichtigste ist der Schutz.
man kann Sicherheit nicht in Pappschachteln kaufen!!!
Lass die Finger von Norton, nimm einen reinen Virenscanner plus Windows-Firewall ülus Router.

Hier mal lesen:
1) Malte J. Wetz : De - Kompromittierung Unvermeidbar browse
2) http://www.trojaner-board.de/96344-a...-rechners.html

Blacksheep89 14.03.2011 11:56
Das ist mir schon klar ;)

Nur brauch ich was ziemlich idiotensicheres für meine anderen Mitbewohner (vorallem die weiblichen...).
Ich selbst bin eigentlich ziemlich vorsichtig, und auch mit den verschiedenen spreading Methoden vertraut, da ich mich mal durch ein Forum der skiddies gelesen habe und da war ich erstmal erstaunt wie schnell man sich was einfangen kann (nur auf eine ominöse website gehen und java zulassen).
Oder auch bildern kann etwas angehängt sein.

Hab die Liste die du geschickt hast jetzt abgearbeitet.
Also würdest du z.B. Avira Antivir Premium empfehlen?

cosinus 14.03.2011 13:24
Zitat:
Nur brauch ich was ziemlich idiotensicheres für meine anderen Mitbewohner (vorallem die weiblichen...).
Gibt es nicht!!
Sieh zu, dass die anderen Mitbewohner keine Adminrechte haben. Jeder soll ein Windows-Login (Benutzer) haben, alles mit Passwort gesichert.

Zitat:
Also würdest du z.B. Avira Antivir Premium empfehlen?
Nein. Geld ausgeben muss man nicht. Du kannst sowas wie Microsoft Security Essentials nehmen - wie gesagt, Sicherheit gibt es nicht in Pappschachteln. Auch der Virenscanner allein reicht nicht, daher hier mal mein Standardtext dazu:

Halte Dich am besten grob an diese fünf Regeln:

1) Sei misstrauisch im Internet und v.a. bei unbekannten E-Mails, sei vorsichtig bei der Herausgabe persönlicher Daten!!
2) Halte Windows und alle verwendeten Programme immer aktuell
3) Führe regelmäßig Backups auf externe Medien durch
4) Arbeite mit eingeschränkten Rechten
5) Nutze sichere Programme wie zB Opera oder Firefox zum Surfen statt den IE, zum Mailen Thunderbird statt Outlook Express - E-Mails nur als reinen text anzeigen lassen

Alles noch genauer erklärt steht hier => Kompromittierung unvermeidbar?


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:07 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131